Импортозамещение в кредитно-финансовой отрасли: реалии и перспективы

Импортозамещение в кредитно-финансовой отрасли: реалии и перспективы

Курс на импортозамещение в кредитно-финансовой отрасли был определён как одна из составляющих общей политики импортозамещения в России. Тема эта обсуждается уже не первый год на разных площадках, в том числе и на Уральском форуме.

О том, как обстоят дела по части импортозамещения в сфере информационной безопасности, мы беседуем с Дмитрием Гусевым, заместителем генерального директора компании «ИнфоТеКС» — одного из крупнейших производителей средств защиты информации.

Оказал ли курс на импортозамещение в финансовой сфере влияние на вашу продуктовую линейку?

Мы всегда старались делать универсальные решения без акцента на конкретную отрасль, но если говорить про финансовую сферу, то у нас есть специализированное решение: платёжный HSM — ViPNet HSM PS, идея разработки которого пришла в момент, когда в России всерьёз заговорили про создание национальной системы платёжных карт (НСПК).

В платёжных системах HSM реализует множество важных криптографических операций при работе с платёжными картами банков и терминалами оплаты: инициализация и персонализация карт, валидация карт и операций при совершении расчётов, смена параметров карты, например пин-кода и пр. И самое важное – хранение секретных параметров (ключей) карт в неизвлекаемом виде, что гарантирует невозможность подделки платёжных карт.

Работу над платёжным HSM мы начали в 2015 году. Партнёром по этому проекту стала компания «Системы практической безопасности» (СПБ) [1]. С этого момента началось наше плодотворное сотрудничество, которое вылилось также в ряд других сервисов и продуктов, например линейкуPKI-решений, генератор ключей и профилей для sim-карт и eSIM, совместные работы по стандартизации криптографических механизмов.

В 2018 году ViPNet HSM PS получил сертификат соответствия требованиям ФСБ России к СКЗИ по классу КВ. Это было первое СКЗИ в России с одновременной поддержкой алгоритмов ГОСТ и зарубежной криптографией, необходимой для обеспечения совместимости с существующими платёжными системами банков.

Как пришла идея создания отечественного платёжного HSM?

Тут всё просто: любой разработчик ищет новые рыночные ниши для своих продуктов, и мы посчитали, что могли бы использовать свой многолетний опыт разработки СКЗИ для создания отечественного аналога аппаратных криптографических модулей (HSM) в интересах как минимум НСПК, призванной обеспечить национальную безопасность, надёжность и бесперебойность розничных платёжных сервисов в условиях осложнения геополитической обстановки [2]. И здесь следует понимать, что HSM является ключевым элементом безопасности любой платёжной системы — это не мои слова, а, по сути, прямой перевод международных требований к платёжным системам [3].

Хочу подчеркнуть: чтобы сделать отечественный платёжный HSM, недостаточно просто изготовить «железо» с необходимым набором функций, необходимо проверить его корректную работу с платёжными системами, внедрёнными на стороне заказчика.

Разработанный нами ViPNet HSM PS успешно прошёл тестирование на совместную корректную работу на стороне крупнейшего международного разработчика процессинговых решений OpenWay, а позднее и в одном из крупных российских банков. Тестирование подтвердило, что в техническом плане наш платёжный HSM не уступает зарубежным аналогам, которые сейчас эксплуатируются во всех платёжных системах, работающих в России, включая НСПК.

Что препятствует распространению отечественных HSM?

В теме импортозамещения платёжных HSM есть важный момент, который уже несколько лет стопорит внедрение российских разработок, — расхождения в трактовке различными экспертами международных требований и рекомендаций Совета по безопасности платёжных систем (PCI Security Standards Council или PCI SSC). Позволю здесь себе высказать и нашу позицию.

Все международные платёжные системы являются участниками PCI SSC и следуют единым правилам и требованиям этой организации. Таким образом достигается высокий единый уровень безопасности платёжных систем. Перечень требований включает в себя требования к участникам платёжных систем (банкам, операторам платёжных систем), программным и техническим средствам, в т. ч. к POS-терминалам и HSM.

Самый простой и понятный путь прохождения оценки соответствия этим требованиям для любого участника платёжной системы — использование сертифицированных специальными лабораториями (PCI Recognized Laboratories) элементов платёжных систем, включая HSM. И именно этой позиции придерживается бóльшая часть экспертов ИБ из российской банковской сферы. Лаборатории аккредитуются самой PCI SSC, и в России таких лабораторий нет, а перспективы их появления в свете современной геополитики весьма туманны. Также непонятны перспективы сертификации российских СКЗИ в действующих зарубежных лабораториях.

Однако если внимательно читать документы и декларации на сайте PCI SSC, то из них следует, что обязательность применения в той или иной платёжной системе именно сертифицированных в PCI Recognized Laboratories изделий HSM является рекомендацией со стороны PCI SSC. Окончательное решение в данном вопросе остаётся за оператором платёжной системы.

Более того, PCI SSC в своих требованиях к участникам процессинга явно оговаривает правила соотнесения этих требований с национальными законодательствами. Приведу следующую цитату из PCI DSS: «…законодательством или нормативно-правовыми актами могут быть предусмотрены особые требования по защите персональных данных или иных элементов данных… Стандарт PCI DSS не заменяет собой местные или региональные законы».

В рамках этой позиции PCI SSC мы уже несколько лет задаёмся вопросом, почему бы российской национальной платёжной системе не иметь свои требования к HSM, копирующие все функциональные требования PCI PTS HSM и соответствующие при этом требованиям ФСБ России к СКЗИ? Оценку же соответствия разработанных в России HSM таким комбинированным требованиям могут проводить действующие российские лаборатории, аккредитованные ФСБ. Это и могло бы стать тем самым решением оператора платёжной системы.

Обсуждение всех этих вопросов на уровне рабочей группы Банка России и НСПК, включая экспертов отрасли, несколько лет назад привели в рамках программы «Цифровая экономика» к организации при НИИ «Восход» лаборатории по тестированию и исследованию оборудования для платёжных систем по требованиям PCI SSC. К сожалению, как я уже отметил выше, перспективы аккредитации этой лаборатории в PСI SSC неясны. Пока лаборатория проводит исследования только с точки зрения функциональности устройств.

Важно, что рабочей группой Банка России с участием экспертов ИнфоТеКС и СПБ уже подготовлены функционально-технические требования, технологические карты с описанием необходимой функциональности POS-терминалов и платёжных HSM. А в рамках работ Технического комитета по стандартизации №26 введены в действие методические рекомендации по использованию отечественных криптоалгоритмов при реализации функций платёжных систем.

Несмотря на все сложности, мы с оптимизмом смотрим на перспективы использования в российских сегментах международных систем и в национальной платёжной системе своего HSM.

Что может помочь развитию рынка отечественных HSM?

Если в России появится лаборатория, аккредитованная на проведение исследований по требованиям PCI SSC, это, конечно, существенно ускорит появление необходимого оборудования. Но пока верится в такое событие слабо.

Не так давно вышло положение ЦБ №382-П (в текущей редакции 719-П), предписывающее, что с 2024 года в значимых платёжных системах должно использоваться оборудование отечественного производства, реализующее западные криптоалгоритмы. Получается, что с 2024 года использование оборудования зарубежных вендоров должно быть ограничено.

А с 2031 года уже должен быть осуществлён переход на отечественные криптоалгоритмы, при этом оборудование должно быть сертифицировано по требованиям ФСБ России.

Какие ещё решения для защиты информации вы готовы предложить финансовым организациям?

В соответствии с курсом России на импортозамещение и Законом об автономном устойчивом суверенном Рунете, который был подписан Президентом в мае 2019 года, было принято решение о создании национальной системы маршрутизации трафика и применения отечественных алгоритмов шифрования данных, передаваемых по сетям связи в РФ.

Система должна обеспечить устойчивость и безопасность информационного взаимодействия граждан с информационными ресурсами госорганов по защищённым протоколам с поддержкой российских алгоритмов шифрования. Пока план перехода на отечественные криптоалгоритмы становится обязательным для государственных информационных систем. Возможно, в будущем эта законодательная инициатива распространится и на финансовый сектор, как часть КИИ.

Уже сейчас наша компания готова предложить целый ряд продуктов для организации защищённого доступа с помощью протокола TLS с отечественной криптографией, например, к системам ДБО. Это шлюзы ViPNet TLS Gateway и разнообразное клиентское ПО под разные операционные системы и аппаратные архитектуры с поддержкой TLS ГОСТ. Особо отмечу, что наши шлюзы TLS сертифицированы и поддерживают одновременную работу на отечественной и зарубежной криптографии, что позволяет заменять ими зарубежные продукты максимально просто, без перенастройки прикладных систем с последующим плавным переходом на ГОСТ по мере замены клиентского ПО.

Выше я рассказывал про наши криптографические решения и продукты, но есть у нас и некриптографические СЗИ: сетевые экраны, системы обнаружения вторжения уровня сети и хоста. Например, наш шлюз безопасности ViPNet xFirewall класса NGFW уже сейчас целым рядом заказчиков используется для замены зарубежных межсетевых экранов, с пропускной способностью до 10 Гбит/с. Работаем и над более производительными моделями.

В своих системах обнаружения вторжения ViPNet IDS мы используем фирменную базу сигнатур атак и эвристики, которые разрабатывает наша дочерняя компания «Перспективный мониторинг». В ней используются как доступные проверенные зарубежные источники сигнатур, так и собственные сигнатуры, разрабатываемые аналитиками SOC Перспективного мониторинга. Эта база регулярно обновляется и пополняется новыми сигнатурами и, на наш взгляд, по своей эффективности не уступает коммерческим зарубежным аналогам.

Есть у нас и бизнес-ориентированные разработки, например наш защищённый мессенджер ViPNet Connect. Это не попытка заменить облачные мессенджеры, будь то всем известные зарубежные системы или менее известные отечественные. Это решение корпоративного класса для организации защищённого обмена сообщениями, файлами, осуществления голосовых и видеозвонков внутри организации или между организациями, когда заказчик хочет контролировать весь информационный обмен, не доверяя его облачным сервисам. В 2021 году мы проводили большую работу по интеграции своего мессенджера с ВКС российских разработчиков: поддержали работу с TrueConf, VideoMost и «Протеем».

Поводя итог, мне остаётся лишь подчеркнуть, что ИнфоТеКС уже давно не только разработчик средств криптографической защиты, а компания, нацеленная на создание и развитие комплексной продуктовой линейки СЗИ, соответствующей всем современным требованиям регуляторов и рынка. И мы надеемся, что наш опыт, разработки и наша готовность учитывать запросы потребителей позволят нам найти в кредитно-финансовой отрасли своих многочисленных заказчиков.

[1] На сегодняшний день компания «СПБ» входит в группу компаний «ИнфоТеКС».

[2] Стратегия развития НСПК 2019-2021.

[3] Payment Card Industry PTS HSM Modular Security Requirements, v4.0. Page 1.